1. 개 요


최근 온라인 게임 계정 정보 탈취를 노리는 악성파일에 대한 유포가 지속적으로 발생하고 있어 사용자들의 각별한 주의가 요망되고 있다. 해당 악성파일에 감염될 경우 온라인 게임 계정정보에 대한 유출을 비롯해 사용중인 Internet Explorer(이하 IE)의 비정상적인 종료 현상이 빈번히 발생되어 사용자들로 하여금 상당한 불편함을 유발할 수 있다. 또한, 해당 악성파일의 경우 지속적인 변종 유포로 백신 상으로의 대응에도 한계점이 있는 것이 사실이다.

  

[주의]국내 소셜커머스 웹 사이트 변조로 악성파일 다량 전파]
http://erteam.nprotect.com/170

[v3lite 파일명으로 위장한 온라인 게임 계정 정보 유출 악성파일 발견, 주의 필요]
http://erteam.nprotect.com/157

[Lpk.dll, Usp10.dll 악성파일 주의 및 대처 방안]
http://erteam.nprotect.com/130

2. 유포 경로 및 감염 증상

해당 악성파일은 주말을 기점으로 국내 파일 공유 사이트 등을 통해 중점적인 유포가 이루어지고 있다. 파일 공유 사이트의 경우 일반 사용자들이 주말 여가 시간을 이용해 많은 접속을 시도할 수 있어 감염 범위가 상당히 커질 수 있을 것으로 추정되고 있다.

악성파일 제작자 및 유포자는 국내 파일 공유 사이트의 취약점을 이용해 추가적인 악성파일이 다운로드 및 실행될 수 있도록 악성 URL을 삽입 할 수 있다.

이렇게 되면 일반 사용자의 경우 웹 사이트가 변조된 파일 공유 사이트에 접속하게 되는것 만으로도 쉽게 온라인 게임 계정정보 탈취를 목적으로 하는 해당 악성파일에 감염될 수 있다.

아래의 그림은 파일 공유 사이트에 삽입된 악성 URL을 통해 다운로드 및 취약점에 의해 실행 가능한 악성 스크립트의 복호화 화면이다.

  

■ 악성 스크립트 복호화 화면

 

  

또한, 예전 글에서 설명하였던 국내 소셜 커머스 사이트 변조 사례와 유사하게 IE, Flash 취약점을 이용한 추가적인 악성파일 다운로드 및 실행을 시도하고 있는것도 특징이라 할 수 있다.
  

■ 악성 Flash 파일 내의 악의적 코드(문자열 변환 작업)


위 그림과 같은 악성 Flash 파일 내부의 일부 코드를 통해 추가적으로 다운로드할 수 있는 악성파일과 관련된 일종의 설정 작업 등을 수행할 수 있게 된다.

  

위에서 설명한 절차를 거쳐 감염 과정이 완료가 되면 아래의 그림과 같이 윈도우 정상 시스템 파일명 교체 등의 변조 작업을 통해 실질적인 온라인 게임 계정 탈취를 위한 악성 기능이 동작될 수 있다.

※ 생성 파일

  - (사용자 임시 폴더)\nsp9.tmp\SelfDel.dll
  - (사용자 임시 폴더)\ws2help.dll
  - (프로그램 폴더)\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe
  - (윈도우 시스템 폴더)\(년월일시분초).dll (예:2011619162132)
  - (윈도우 시스템 폴더)\ws2help.dll
  - (윈도우 시스템 폴더)\ws3help.dll(정상파일)

※ (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다.

※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.


해당 악성파일 감염으로 유출될 수 있는 온라인 게임 리스트는 아래와 같다.

※ 온라인 게임 계정 정보 유출 리스트

  - dnf.exe(던전앤파이터)
  - MapleStory.exe(메이플스토리)
  - FF2Client.exe(피파온라인2)
  - lin.bin(리니지)
  - DarkBlood.exe(다크블러드)
  - heroes.exe(마비노기영웅전)
  - LOB.exe(레전드오브블러드)
  - x2.exe(엘소드)

※ OTP 관련 모듈 모니터링

  - PCOTP.exe


또한, 해당 악성파일은 아래의 그림과 같이 특정 백신에 대한 종료 기능을 가지고 있다.


3. 예방 조치 방법

위와 같은 악성파일은 주말을 기점으로 파일 공유 사이트 변조를 통해 지속적인 유포를 시도하기 때문에 한동안 끊임없는 보안 이슈로 작용할 전망이다. 현재 주말 뿐만 아니라 평일에도 파일 공유 사이트 및 온라인 게임을 즐기는 사용자가 많아 엄청난 금전적인 손실 피해가 뒤따를 수 있는 만큼 아래와 같은 "보안 관리 수칙"을 반드시 준수해 안전한 PC사용을 할 수 있도록 하자.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단 치료

- Script-JS/W32.Agent.CFH
- Script-JS/W32.Agent.CFE
- Trojan-Exploit/W32.SWFlash.3467.JT
- Script-JS/W32.Agent.CFG
- Trojan/W32.Agent.85104.B
- Script-JS/W32.Agent.ZV
- Trojan/W32.Agent.44096.IJ
- Trojan/W32.Agent.33588742.B
- Trojan/W32.Agent.33600522



 

저작자 표시
신고
Posted by nProtect

1. 개 요


2011년 1월 11일, 16일 양일간
국내 특정 인터넷 쇼핑몰, 웹하드 사이트에 악성파일이 삽입되어 유포 중이라는 보고가 있었다. 물론 해당 웹사이트에 접속하는 것만으로 당장 악성파일이 다운로드 되거나 실행되지는 않는다. 다만, 시일이 지났음에도 불구하고 아직까지 해당 업체들로부터 삽입된 악성파일에 대한 조치가 이루어지지 않고 있다는 점과 악성파일을 유포하는 사이트 중 웹하드 관련 사이트가 포함되어 있다는 점 등으로 인해 사용자들의 각별한 주의가 요구되고 있다.

하기의 설명을 참고하여 어떠한 악성파일이 유포되고 있는지 알아보도록 하자.

2. 사이트에 삽입된 악성파일 및 감염 증상

하기와 같은 사이트에 악성파일이 삽입되어 있으며, 이로인해 삽입된 악성파일에 대한 추가적인 유포 등이 가능할 것으로 추정되고 있다.

2-1 변조된 사이트 및 삽입된 악성파일 정보

■ http://www.(생략).co.kr/(생략)/USB_Vlad.exe


■ http://www.(생략).co.kr/(생략)/file/pds.exe


상기의 URL을 통해 다운로드되는 파일들은 아래의 그림과 같다.


2-2 다운로드된 악성파일에 대한 감염 증상

■ USB_Vlad.exe (32,256 바이트)

▶ 해당 파일에 감염될 경우 자신의 복사본을 숨김 속성으로 하기의 폴더에 생성하게 된다.

 - (윈도우 시스템 폴더)\raidhost.exe (32,256 바이트)

▶ 하기와 같은 레지스트리 값 등록을 통해 윈도우 재부팅 시 악성파일을 함께 실행할 수 있도록 한다.

 - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 - 값 이름 : raidhost
 - 값 데이터 : (윈도우 시스템 폴더)\raidhost.exe

▶ 하기와 같은 특정 사이트(IRC 서버)에 접속 및 포트를 오픈하여 백도어나 프록시 서버 등으로 이용될 수 있는 것으로 추정되고 있다.

 - http://(생략).(생략).com:1033

※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

■ pds.exe (59,392 바이트)

▶ 해당 파일에 감염될 경우 자신의 복사본을 하기의 폴더에 생성하게 된다.

 - (윈도우 시스템 폴더)\(5자리 영문자의 임의의 파일명).exe (59,392 바이트)

▶ 하기와 같은 레지스트리 값 등록을 통해 윈도우 재부팅 시 userinit.exe와 함께 실행될 수 있도록 한다.

 - [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
 - 값 이름 : Userinit
 - 값 데이터 : (윈도우 시스템 폴더)\userinit.exe, (5자리 영문자의 임의의 파일명).exe

▶ 해당 악성파일은 특정 온라인 게임 등의 계정 정보를 수집하여 특정 사이트로의 접속을 통해 수집된 정보를 전송하는 것으로 추정되고 있다.

 - http://180.(생략).(생략).180:1035

※ (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다.

3. 예방 조치 방법

특정 웹 사이트가 변조되어 악성파일이 삽입된 경우 스크립트를 이용해 취약점을 통한 악성파일의 유포가 이루어지는 경우가 대다수이다. 이번에 발견된 웹 사이트 변조의 경우 취약점을 이용한 악성파일 유포와 관련된 사항은 발견되지 않았다. 다만, 다른 웹 사이트가 변조되어 iframe exploit 등의 취약점을 이용해 해당 악성파일에 대한 유포가 이루어질 가능성이 있기 때문에 사용자들은 사용 중인 ▶윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치, ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 유지해 사용하는 것이 안전을 위한 최선의 방법이 될 수 있다.

※ nProtect Anti-Virus 제품군에서는 이번에 발견된 악성파일에 대해 하기와 같이 진단/치료 기능을 제공하고 있다.

저작자 표시
신고
Posted by nProtect